31 Verantwortlicher für die Datenverarbeitung

Aus EUMI-Praxisbuch
Version vom 11. März 2021, 12:17 Uhr von Ckramer (Diskussion | Beiträge) (1 Version importiert: import from https://vf-mi.virt.uni-oldenburg.de/mediawiki)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

An wen kann sich der Patient wenden, wenn er Auskunft über seine gespeicherten Daten haben oder eine Berichtigung bzw. Löschung vornehmen lassen möchte? Kann ggf. entfallen, wenn dies bereits im Zusammenhang mit Item 10 beschrieben wurde.

Zusammenfassung

Wenn im Rahmen des geplanten Forschungsvorhabens die Verarbeitung personenbezogener Daten erfolgt, so ist dem Patienten/Probanden ein für die Datenverarbeitung Verantwortlicher zu nennen. Offen bleibt die Frage, wie konkret dieser ""Verantwortliche"" genannt werden muss. Laut BDSG ist die ""Identität der verantwortlichen Stelle"" zu nennen, andere Quellen fordern die Identität der verantwortlichen Person (mit Angabe von Name, Telefon- und Faxnummer) und zuweilen auch die Nennung seines Stellvertreters.

Standardsatz / -lösung

Der für die Datenverarbeitung Verantwortliche ist zu nennen (Name, Funktion, Institution). Die Angabe einer vollständigen Adresse ist nicht notwendig, wenn eine Kontaktstelle mit voller Adresse genannt wurde, wo diese Informationen abgefragt werden können. „Für die Datenverarbeitung verantwortlich ist N. N., Leiter der Studie/des Forschungsvorhabens, Universität XYZ.“ BMB-Standardsatz/-lösung „Ihre Daten und Proben werden innerhalb der Biomaterialbank an unterschiedlichen Stellen mit jeweils eigenen Verantwortlichkeiten gespeichert bzw. gelagert. Ein Missbrauch ist dadurch weiter erschwert. Weitergehende Informationen erhalten Sie unter der angegebenen zentralen Kontaktstelle, die Ihre Fragen weiterleiten oder Ihnen die Verantwortlichen nennen können.“

(Datenschutz-) Rechtliche Bewertung

Die Vollständigkeit der Angaben zur „verantwortlichen Stelle“ im Sinne des § 3 Abs. 7 BDSG gegenüber dem Betroffenen ist gemäß § 4 Abs. 3 Nr. 1 BDSG unerlässlich, „sofern er nicht bereits auf andere Weise Kenntnis erlangt hat“. Letzteres kann aber in der Phase, in der ein Patient für eine Teilnahme an einer Studie gerade erst gewonnen werden soll, in der Regel nicht angenommen werden, so dass die Nennung des Verantwortlichen erforderlich ist. Die ausführliche Nennung des Verantwortlichen mit Namen, Anschrift und Kommunikationsangaben wird daher empfohlen. Allerdings sollte bei dieser Nennung die konkrete Studiensituation berücksichtigt werden. So mag es bei kleineren Studienvorhaben mitunter der Fall sein, dass die ausführende Stelle auch diejenige ist, die über die Art der erhobenen Daten und der Datenverarbeitung entscheidet und diese Daten auch selbst verwaltet. Ist dies der Fall, so ist die Nennung einer verantwortlichen Stelle ohne weiteres möglich. Bei größeren klassischen klinischen Studien legt hingegen in der Regel der Sponsor fest, wo von welchem Beteiligten welche Daten verarbeitet werden und wie dies zu geschehen hat. Der Sponsor wäre in diesem Fall „Herr der Daten“ (vergleiche hierzu auch Kapitel 7.7 „Verantwortlicher für die Datenverarbeitung“) und könnte deshalb auch als Verantwortlicher genannt werden. Fraglich ist jedoch, ob damit dem Betroffenen, der beispielsweise Auskunft über seine gespeicherten personenbezogenen Daten wünscht, in jedem Fall gedient ist. Die Aufgabenverteilung bei größeren Studien bringt es nämlich mit sich, dass die einzelnen Beteiligten häufig rascher und umfassender Auskunft geben könnten als der Sponsor selbst. Um aber Verweisungen von einer (vom Betroffenen angefragten) Stelle an die nächste zu vermeiden, scheint es sinnvoller, eine zentrale Kontaktstelle für die Patienten einzurichten, die entsprechende Anfragen selbst beantworten oder zumindest an die jeweils aktuell mit den personenbezogenen Daten des Anfragenden befassten Stellen weiterleiten kann. Auf diese Weise könnte zugleich vermieden werden, mehrere Verantwortliche nennen und dem Patienten zugleich erklären zu müssen, welcher Verantwortliche für seine Anfragen in Betracht kommen kann.

Bewertung

Der für die Datenverarbeitung Verantwortliche ist in der Patienteninformation mit Name und Funktion zu nennen. Damit hat der Patient einen Ansprechpartner, an den er sich wenden kann, um seine Rechte in Bezug auf die Verarbeitung seiner Daten wahrzunehmen. Unter dem für die Datenverarbeitung Verantwortlichen ist nicht unbedingt eine Person zu verstehen, die dem Patienten direkt Auskunft über seine Daten geben kann, sondern diejenige Person, die für die Datenverarbeitung verantwortlich ist, oder die „Daten besitzende“ Stelle. Dies kann auch der Leiter der klinischen Prüfung/Sponsor (im Sinne von GCP)/Studienleiter/Kompetenznetzsprecher etc. sein. Um die Anzahl der Kontaktstellen bzw. Kontaktadressen möglichst klein zu halten, ist auch hier die Möglichkeit gegeben, auf eine zentrale Kontaktstelle hinzuweisen, über die der Patient den für die Datenverarbeitung Verantwortlichen erfragen kann. Wie auch bei dem Leiter eines Forschungsvorhabens (Item 09) können sich bei Biomaterialbanken durch getrennte Datenhaltung mehrere Verantwortliche für die Datenverarbeitung ergeben. Die Nennung einer zentralen Kontaktselle ist auch hier wieder der Einzelnennung der verschiedenen verantwortlichen Stellen vorzuziehen.

EU DSGVO zu Aufhebung der EU DS 95/46/EG

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters:

BDSG

§3 (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. §4 (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, [...] zu unterrichten.

DAE Empf genDat

IV. Erhebung und Verwendung von Daten Die genetische Diagnostik kann erst begonnen werden, wenn der Proband nach Aufklärung sein schriftliches Einverständnis gegeben hat. In diesem sensiblen Bereich wäre es in der Regel bedenklich, hiervon abzuweichen (vgl. § 4 Abs. 2, § 4a Abs. 1-3 BDSG). Die informierte Einwilligung setzt die vorherige umfassende Unterrichtung über die datenverarbeitende Stelle der Studie, die eventuelle Zusammenführung von Daten, den Ansprechpartner und weitere Modalitäten des Ablaufes, voraus.

EU VERORDNUNG 536/2014

Artikel 56 Aufzeichnung, Verarbeitung, Behandlung und Speicherung von Informationen

(1) Alle Daten zu einer klinischen Prüfung werden durch den Sponsor oder gegebenenfalls den Prüfer so aufgezeichnet, verarbeitet, behandelt und gespeichert, dass sie korrekt übermittelt, ausgelegt und überprüft werden können, wobei gleichzeitig die Vertraulichkeit der Unterlagen und der personenbezogenen Daten der Prüfungsteilnehmer gemäß dem geltenden Recht zum Datenschutz gewahrt bleibt.